1、第15章信息安全评估 第15章 信息安全评估15.1概述概述 15.2评估过程评估过程 15.3评估案例评估案例 第15章信息安全评估 15.1概述概述15.1.1研究背景研究背景美国Radicati集团早期发表的一项调查报告指出:2003年病毒造成的经济损失超过280亿美元,2007年则超过750亿美元。该报告从一定程序上说明了网络安全事件、信息安全事件所造成的损失是呈增长趋势的,值得人们重视。国内信息安全厂商瑞星2008年11月份的统计报告显示:病毒木马继承了2007年快速增长的势头,在2008年的前10个月,互联网上共出现新病毒9306985个,是2007年同期的12.16倍,木马病毒和
2、后门程序之和超过776万,占总体病毒的83.4%,病毒数量开始井喷式爆发。第15章信息安全评估 中国互联网络信息中心(CNNIC)和国家互联网应急中心(CNCERT)在京联合发布的2009年中国网民网络信息安全状况调查系列报告中指出,2009年,52%的网民曾遭遇过网络安全事件。其中,给21.2%的网民带来了直接经济损失。该报告还对网民用于处理网络安全事件支出的费用进行了统计,结果显示:2009年,网民处理安全事件所支出的服务费用高达153亿元人民币。第15章信息安全评估 面对当今日益增长的信息系统安全需求,单靠技术手段是不可能从根本上解决信息系统安全问题的,信息系统的安全更应从系统工程的角度
3、来看待。在这项系统工程中,风险评估占有重要地位,它是信息系统安全的基础。通过风险评估,可以了解系统目前与未来的风险所在,评估这些风险可能带来的安全威胁与影响程度,为安全策略的确定、信息系统的建立及系统的安全运行提供依据。信息安全风险评估成为一个越来越紧迫的问题,已引起各发达国家的高度重视。实现风险评估的制度化已成为信息安全建设的迫切需求,如果不能进行有效的风险评估,则将会造成信息安全需求与安全解决方案之间的严重脱节。第15章信息安全评估 15.1.2基本概念基本概念1.信息安全信息安全信息安全的定义为:为了防止未经授权就对知识、事实、数据或能力进行使用、滥用、修改或拒绝使用而采取的措施。信息安
4、全的目标是保护信息的保密性、完整性、可用性及其他属性,如可控性、真实性、不可否认性和可追溯性等。信息安全不是绝对的,没有完全彻底的信息安全。第15章信息安全评估 2.风险风险风险是能够影响一个或多个目标的不确定性,是能够产生危险的诱因,在信息安全风险评估中普遍是指对资产造成损害的可能性。第15章信息安全评估 3.风险管理风险管理风险管理是指对面临的风险进行风险识别、风险估测、风险评价、风险控制,以减少风险负面影响的决策及行动过程。通过管理,可对风险进行度量和控制,将风险降低到一个可接受的水平。信息安全风险管理是风险管理理论和方法在信息系统中的应用,是科学分析信息和信息系统在保密性、完整性、可用
5、性等安全属性方面所面临的风险,并在风险的预防、风险的控制、风险的转移、风险的补偿、风险的分散之间做出抉择的过程。风险评估是信息安全的出发点,风险控制是信息安全的落脚点。信息安全风险管理的核心是信息安全风险评估。第15章信息安全评估 4.信息安全风险信息安全风险信息安全风险指信息系统在整个生命周期中面临的人为的或自然的威胁,利用系统存在的脆弱性导致信息安全事件发生的可能性及其造成的影响。5.信息安全风险评估信息安全风险评估信息安全风险评估就是从风险管理角度出发,运用科学的方法和手段,系统地分析网络与信息系统所面临的威胁及其存在的脆弱性,评估安全事件一旦发生可能造成的危害程度,提出有针对性的抵御威
6、胁的防护对策和整改措施,以防范和化解信息安全风险,或者将风险控制在可接受的水平,从而最大限度地保障网络和信息安全。第15章信息安全评估 信息安全风险评估是一种方法,用来识别和了解对组织控制的限度(范围)。信息安全风险评估是一种工具,用来识别组织资产、威胁和脆弱性(威胁)。信息安全风险评估是一个过程,通过它可在概率和影响的基础上确定信息系统所面临的风险级别(风险级别)。信息安全风险评估是一个手段,通过它可说明风险管理策略和资产分配的合理性(成本效益)。第15章信息安全评估 6.构成信息安全风险的要素构成信息安全风险的要素信息安全风险包括下面三个要素:(1)资产(asset):需要保护的实体。(2
7、)威胁(threat):能够产生不友好环境的事件。(3)脆弱性(vulnerability):发生危险的脆弱点。这三个要素之间的关系是:威胁利用脆弱性对资产造成损害。第15章信息安全评估 7.残余风险残余风险是指采取了安全保障措施,提高了防护能力后,仍然可能存在的风险。8.安全需求安全需求是指为保证组织机构的使命正常行使,在信息安全保障措施方面提出的要求。9.安全措施安全措施是指为对付威胁、减少脆弱性、保护资产而采取的预防和限制意外事件的影响,检测、响应意外事件,促进灾难恢复和打击信息犯罪而实施的各种实践、规程和机制的总称。第15章信息安全评估 10.信息安全风险基本要素间的关系信息安全风险基
8、本要素间的关系 图15.1.1风险安全风险基本要素间的关系 第15章信息安全评估 15.1.3目的和意义目的和意义信息安全风险评估有助于认清信息安全环境和信息安全状况,提高信息安全保障能力,其目的和意义体现在以下几个方面。(1)信息安全风险评估是科学分析并确定风险的过程。任何系统的安全性都可以通过风险的大小来衡量,科学地分析系统的安全风险、综合平衡风险和代价构成了风险评估的基本过程。信息安全风险评估是风险评估理论和方法在信息系统中的运用,是依据有关信息安全技术与管理标准,对信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行评价的过程。第15章信息安全评估 (2)信息安全
9、风险评估是信息安全建设的起点和基础。所有信息安全建设都应该基于信息安全风险评估。只有正确地、全面地识别风险、分析风险,才能在预防风险、控制风险、减少风险、转移风险之间作出正确的决策:决定调动多少资源,以什么样的代价,采取什么样的应对措施化解和控制风险。第15章信息安全评估 (3)信息安全风险评估是需求主导和突出重点原则的具体体现。风险是客观存在的,试图完全消灭风险或完全避免风险是不现实的。要根据信息及信息系统的价值、威胁的大小和可能出现的问题的严重程度,以及在信息化建设不同阶段的信息安全需求,坚持从实际出发,以需求为主导,突出重点,分级防护,科学地评估风险,并有效地控制风险。第15章信息安全评
10、估 (4)信息安全风险评估是组织机构实现信息系统安全的重要步骤。通过风险评估,可全面、准确地了解组织机构的安全现状,发现系统的安全问题及其可能的危害,分析信息系统的安全需求,找出目前的安全策略和实际需求的差距,为决策者制定安全策略、构架安全体系、确定有效的安全措施、选择可靠的安全产品、设计积极防御的技术体系、建立全面的安全防护层次提供严谨的安全理论依据和完整、规范的指导模型。第15章信息安全评估 (5)信息安全风险评估是信息安全风险管理的最重要环节。风险评估是风险管理环上的一个要素,其他要素包括确定风险管理的中心焦点,制定法规和控制措施,提高安全意识,检测与评价。尽管环上的所有要素都重要,但是
11、风险评估是其他要素的基石。特别地,风险评估是制定法规、采取应对措施落实政策的基础。风险管理环如图15.1.2所示。第15章信息安全评估 图15.1.2风险管理环 第15章信息安全评估 15.1.4发展概况发展概况1.美国信息安全风险评估的发展概况美国信息安全风险评估的发展概况在国际上,美国是对信息安全风险评估研究历史最长和工作经验最丰富的国家,一直主导信息技术和信息安全的发展,信息安全风险评估在美国的发展实际上也代表了风险评估的国际发展。从最初关注计算机保密发展到目前关注信息系统基础设施的信息保障,大体经历了3个阶段,见表15.1.1。第15章信息安全评估 表表15.1.1风险评估的发展过程风
12、险评估的发展过程 第一阶段 第二阶段 第三阶段 时间 20 世纪 60 年代至70年代 20 世纪 80 年代至 90年代 20 世纪90 年代末至 21世纪初 评估对象 计算机 计算机和网络 信息系统关键基础设施 背景 计算机开始应用于政府军队 计算机系统形成了网络化的应用 计算机网络系统成为关键基础设施的核心 特点 对安全的评估只限于保密性(保密阶段)逐步认识到了更多的信息安全属性(保密性、完整性、可用性)(保护阶段)安全属性扩大到了保密性、完整性、可用性、可控性、不可否认性等多个方面(保障阶段)阶 段 性 质 第15章信息安全评估 2.其他国家信息安全风险评估的发展概况其他国家信息安全风
13、险评估的发展概况除美国之外的其他发达国家也越来越重视风险评估工作,提倡风险评估制度化。欧洲各国在信息安全管理方面的做法是在充分利用美国引导的科技创新成果的基础上,加强预防。欧洲各国在风险管理上一直探索走一条不同于美国的道路。“趋利避害”是其在信息化进程中防范安全风险的共同策略。信息安全风险管理和评估研究工作一直是欧盟投入的重点。第15章信息安全评估 3.我国信息安全风险评估的发展和现状我国信息安全风险评估的发展和现状相对于发达国家,我国的信息安全工作相对滞后。美国安全专家EdwinB.Heinlein于1996年在“Computers&Security”上发表论文“ComputerSecuri
14、tyinChina”,对中国数据和计算机安全状况做了相关论述,指出中国关于国际互联网的连接接入情况的规定不如新加坡严格,还指出中国在理解系统安全领域基本观点上远远落后,这种安全理论和实践水平的缺乏将会严重影响计算机技术在政府、商业等许多领域应用的迅速增长,并指出需要加强风险评估工作。我国的信息安全评估工作是随着对信息安全问题的认识逐步深化不断发展的。早期的信息安全工作的中心是信息保密,通过保密检查来发现问题,改进提高。20世纪80年代后,随着计算机的推广应用,我国随即提出了计算机安全的问题,开展了计算机安全检查工作。由于缺乏风险意识,通常寻求绝对安全的措施。第15章信息安全评估 15.1.5研
15、究概况研究概况信息安全风险评估方法主要分为定性评估方法、定量评估方法和定性与定量相结合的评估方法三大类。(1)定性评估方法主要依据研究者的知识及经验、历史教训、政策走向以及特殊变例等非量化资料对系统的风险状况做出判断。定性分析方法是使用最广泛的风险分析方法。该方法通常只关注威胁事件所带来的损失,而忽略事件发生的概率。多数定性风险分析方法依据组织面临的威胁、脆弱性以及控制措施等元素来决定安全风险等级。在定性评估时并不使用具体的数据,而是指定期望值,如设定每种风险的影响值和概率值为“高”、“中”、“低”。定性评估方法的优点是使评估的结论更全面、深刻;其缺点是主观性很强,对评估者本身的要求更高。此外
16、,有时单纯使用期望值,难以明显区别风险值之间的差别。典型的定性评估方法有:因素分析法、逻辑分析法、历史比较法、德尔斐法等。第15章信息安全评估 (2)定量评估方法是指运用数量指标来对风险进行评估。该法分析风险发生的概率、风险危害程度所形成的量化值,大大增加了与运行机制和各项规范、制度等紧密结合的可操作性,分析的目标和采取的措施更加具体、明确、可靠。其优点是用直观的数据来表述评估的结果,看起来一目了然,而且比较客观;缺点是量化过程中容易使本来比较复杂的事物简单化。典型的定量分析方法有:聚类分析法、时序模型、回归模型等。第15章信息安全评估 (3)定性与定量相结合的评估方法就是将定性分析方法和定量
17、分析方法这两种方法有机结合起来,做到彼此之间的取长补短,使评估结果更加客观、公正。在复杂的信息系统风险评估中,不能将定性分析与定量分析简单地分割开来。在评估过程中,对于结构化很强的问题,采用定量分析方法;对于非结构化的问题,采用定性分析方法;对于兼有结构化特点和非结构化特点的问题,采用定性与定量相结合的评估方法。第15章信息安全评估 15.2评估过程评估过程15.2.1评估内容及关键问题概述评估内容及关键问题概述GB/T20984-2007中给出了风险评估的实施流程。结合具体实施过程,本节将描述信息安全风险评估的基本步骤,对风险评估过程中需要解决的关键问题进行分析。1.信息安全风险评估的内容信
18、息安全风险评估的内容依据GB/T20984-2007中提出的风险评估的实施流程和具体实践研究,信息安全风险评估一般遵循如下步骤:(1)构建安全框架模型:包括安全范围的界定以及将安全问题结构化为“保护对象框架”。第15章信息安全评估 (2)信息资产评估:识别并估价关键的信息资产。(3)威胁评估:识别面临的威胁并确定发生的可能性。(4)脆弱性评估:识别系统的脆弱性(包括现有控制的不足),衡量脆弱性的严重程度。(5)建立威胁脆弱性关联:确定信息资产及其脆弱性与威胁之间存在的联系。(6)风险确定:依据一定的风险评估方法,对信息系统进行全面、综合的评估,分析风险级别,并写出风险分析报告。(7)风险处理:
19、由风险分析过程提出系统的控制目标及应采取的安全控制措施,编写风险处理意见。(8)风险管理:对信息系统实施风险管理。第15章信息安全评估 图15.2.1风险评估流程图 第15章信息安全评估 2.信息安全风险评估过程中需要解决的关键问题信息安全风险评估过程中需要解决的关键问题在信息安全风险评估的实施过程中,需要解决下列问题:(1)为了对信息系统的安全有个整体上的认识,需要明确评估范围,不漏掉任何安全问题。(2)如何准确、客观地评估信息资产。资产评估包括资产识别和资产价值估算两个步骤。资产识别往往过于繁琐,在识别信息资产时可以以资产组为单位,以减少资产识别的工作量。在资产的赋值上,资产的保密性、完整
20、性和可用性这三个安全属性(以下简称“CIA”或“CIA三性”)具有不同的权值,不同资产的CIA权值的侧重点不同,可根据实际情况选择不同的方法。第15章信息安全评估 (3)对威胁的评估要考虑威胁的获取方法,以及如何得到威胁发生的可能性,即如何解决威胁评估中赋值考虑的因素。(4)在脆弱性评估中,要考虑工具扫描、人工分析和渗透测试方法可能带来的新的风险。(5)风险的确定。第15章信息安全评估 15.2.2安全框架模型安全框架模型在风险评估项目实施中,整体性是核心问题,为了保障安全体系具有一定的完整性,避免信息系统出现安全漏洞,于是引入了安全框架模型。美国国家安全局在2002年12月发布了信息安全保障
21、技术框架(IATF,theInformationAssuranceTechnicalFramework)3.1版本,提出了信息安全保障的深度防御战略模型,将防御体系分为策略、组织、技术和操作四个要素,强调在安全体系中进行多层保护。安全框架是依据框架的概念,解决组织信息安全问题的思路方法。其构建过程如图15.2.2所示。第15章信息安全评估 图15.2.2安全框架的构建 第15章信息安全评估 1.界定安全问题的范围界定安全问题的范围进行风险评估时,必须进行安全范围的界定,要求评估者明确所需要评估的对象。安全范围包括:物理和逻辑周界、可控制的资产、威胁分析的范围。在该阶段生成文档信息安全范围评估报
22、告。第15章信息安全评估 2.对安全问题进行结构化分析对安全问题进行结构化分析在信息系统十分庞大的情况下,为了更好地研究其安全问题,需要从庞大的信息资产中提炼出保护对象框架。安全框架体系是指以结构化的方法表达信息系统的框架模型。1)结构化原理结构化原理是指通过特定的结构将问题拆分成子问题的迭代过程,如故障树。在这个过程中,应遵循以下原则:(1)充分覆盖,即所有子问题的总和必须覆盖原问题。如果不能充分覆盖,那么解决问题的方法就可能出现遗漏,严重影响方法的可行性。第15章信息安全评估 (2)互不重叠,即所有子问题都不允许重复。比如,某一个子问题其实是另外两个问题或多个问题的合并,这个问题就不能再出
23、现在一个框架中。(3)不可再细分,即所有子问题都必须细分到不能再被细分。当一个问题经过框架分析后,所有不可再细分的子问题就构成了一个“框架”。第15章信息安全评估 2)结构化分析当信息安全问题的范围被明确后,问题必须按照结构化原理被不断地细分。这时整个问题已经被结构化为“保护对象框架”。保护对象框架可以看做由一组“安全需求”组成,通过将安全问题不断细分为保护对象,“安全需求”也就越明确、越详细。第15章信息安全评估 3.为保护框架中的每一项安全需求设计或选择相应的对为保护框架中的每一项安全需求设计或选择相应的对策策为保护框架中的每一项安全需求设计或选择若干安全控制,这些安全控制的集合构成了“安
24、全对策框架”。保护对象框架和安全对策框架之间是“映射”关系,即每一个需求对应若干个控制,而每一个控制只对应一个需求。第15章信息安全评估 4.综合安全对策框架成为安全体系综合安全对策框架成为安全体系安全控制包含策略、组织、技术和运作四个要素。将这四个要素综合起来,就成为策略体系、组织体系、技术体系和运作体系。图15.2.3是某信息系统安全体系的构成。图中,最下面是系统的保护对象框架,根据信息资产逻辑图,可将系统的保护对象分成计算机环境、区域边界、网络与基础设施等。计算机环境内部可以进一步细分为子区域、边界和通信网络。这种细分可以迭代地进行下去,一直到计算机环境内在安全性上完全同质。对不同区域、
25、边界和通信网络,其安全需求是不同的。第15章信息安全评估 图15.2.3某信息系统安全体系的框架 第15章信息安全评估 15.2.3信息资产评估信息资产评估 1.以资产组为单位识别信息资产以资产组为单位识别信息资产在实际项目中,为了减少资产识别的工作量,在不影响评估质量的前提下,可以在评估项目中采用资产组的概念来进行资产的识别。对于没必要进行细分的资产,采用资产组进行标识,如一台主机为一个主机资产组,包括硬件资产、软件资产(包括操作系统、应用软件等)、服务资产、数据资产等。对于重要的资产,应进行独立标识,如在一个资产组中,有几个资产的属性都非常重要,则可考虑提出其分别作为一个资产。又如,一个非
26、常重要的数据库主机可以分为一个数据库资产组和一个主机资产组,也可以把其中的数据再提出来单独作为一个数据资产。第15章信息安全评估 国标中指出,“在实际工作中,具体的资产分类方法可以根据具体的评估对象和要求,由评估者灵活把握。”在实际应用中可以把信息资产分为网络设备、服务器、工作站、安全设备、物理环境、业务系统、数据、文档和人员等。在识别网络设备的信息资产时,一体化的网络设备(如路由器、交换机等)均视为一项信息资产,而不再具体细分为硬件和软件;网络线路的物理介质均视为网络系统信息资产的属性,而不再单列为资产。第15章信息安全评估 2.信息资产价值的计算信息资产价值的计算国标指出,“资产价值应依据
27、资产在保密性、完整性和可用性上的赋值等级,经过综合评定得出。综合评定方法可以根据自身的特点,选择资产保密性、完整性和可用性中最为重要的一个属性的赋值等级作为资产的最终赋值结果;也可以根据资产保密性、完整性和可用性的不同等级对其赋值进行加权计算得到资产的最终赋值结果。加权方法可根据组织的业务特点确定。”结合实际应用,我们对权值的取值方法进行如下讨论。第15章信息安全评估 1)不考虑权值的计算信息资产的估价主要是对CIA三性分别赋予价值,以此反映信息资产的价值。也可以加上资产的其他属性赋值,根据实际情况决定。考察实际经验,CIA三性中最高的一个对最终的资产价值影响最大。资产价值并不随着三个属性值的
28、增加而线性增加,较高的属性值具有较大的影响。不考虑CIA三性的权值,可以用下列公式计算资产价值:ConfIntAvail222AssetValueRound lb3第15章信息安全评估 2)考虑权值的计算在不同的行业中,因为业务、职能和行业背景千差万别,所以信息安全的目标和安全保障的要求也截然不同,比如电信运营商最关注可用性,金融行业最关注完整性,政府涉密部门最关注保密性,这时CIA三性的权值就会相差很大。为解决这个问题,在计算资产价值时对CIA三性引入不同的权值,并用下列公式计算资产价值:ConfIntAvailA2B 2C 2AssetValueRound lb3其中,A代表保密性的权值,
29、B代表完整性的权值,C代表可用性的权值。A、B、C是三个03之间的常数,且A+B+C=3。第15章信息安全评估 权值的确定依据是对要评估系统的行业背景和应用特点的理解。下面是一些行业的示范:电信运营商(最关注可用性):A=0.7,B=0.7,C=1.6。金融行业(最关注完整性):A=0.7,B=1.6,C=0.7。政府涉密部门(最关注保密性):A=1.6,B=0.7,C=0.7。第15章信息安全评估 3)不同资产CIA三性的权值不同即使对同一个信息系统进行评估,不同类的资产,其对CIA三性的关注程度也不同,CIA三性的权值有时也会相差很大。为解决这个问题,在使用上述公式时,对不同的资产A、B、
30、C的确定要根据具体情况而定,不能一概而论。第15章信息安全评估 第15章信息安全评估 第15章信息安全评估 表15.2.1中,X值一般代表关联程度,即某资产与后果之间的关联性;Y值一般代表关键程度,即该种后果的关键程度。(1)保密性赋值。对于不同的资产类型,其保密性价值含义可能不同。为了方便赋值,将保密性拆为两个值:XConf和YConf。XConf(保密性关联程度)是指资产被暴露与所造成最严重后果之间的关系。XConf可分为直接导致损失、容易导致损失、可能导致损失和难以导致损失四种程度,分别对应4、3、2、1四个值。第15章信息安全评估 第15章信息安全评估 第15章信息安全评估 第15章信
31、息安全评估 例如对某信息系统,各类资产IntX的赋值原则如下:数据资产的IntX取 4;应用软件的IntX取 3;主机系统、平台系统和关键的网络系统的IntX取 2;一般的网络系统的IntX取 1。第15章信息安全评估 第15章信息安全评估 第15章信息安全评估 第15章信息安全评估 第15章信息安全评估 表表15.2.2资产价值统计表资产价值统计表 资产编号资产编号 资产名称资产名称 Xc Yc Xi Yi Xa Ya C I A AV Asset_01 核心业务数据库服务器 2 3 2 3 4 3 3 3 5 4.1 Asset_02 核心业务应用服务器 2 3 2 3 4 2 3 3 4
32、 3.5 Asset_03 财务系统应用服务器 1 2 3 2 3 4 2 3 3 4 3.5 Asset_04 网管服务器 2 2 2 2 2 3 2 2 3 2.5 Asset_05 管理控制台 1 2 2 2 2 1 1 2 1 1.4 Asset_06 信息管理部工作站 1 3 2 1 4 1 2 1 3 2.3 Asset_07 总工作站 1 3 2 1 4 1 2 1 3 2.3 Asset_08 客服工作站 1 2 2 1 3 1 1 1 2 1.5 Asset_09 核心交换机 2 3 2 3 4 3 3 3 5 4.1 Asset_10 局域网交换机 1 1 2 1 2 4
33、2 1 1 4 2.9 Asset_11 总部广域网路由器 2 3 2 3 4 3 3 3 5 4.1 Asset_12 拨号访问路由器 2 3 2 3 4 3 3 3 5 4.1 Asset_13 互联网路由器 2 1 2 1 3 3 1 1 4 2.9 第15章信息安全评估 Asset_14 广域网路由器 2 3 2 3 4 2 3 3 4 3.5 Asset_15 互联网防火墙 2 1 2 1 3 3 1 1 4 2.9 Asset_16 分部广域网路由器 2 3 2 3 4 2 3 3 4 3.5 Asset_17 DNS 服务器 2 1 2 3 3 3 1 3 4 3.3 Asset
34、_18 客服程控交换机 2 2 2 2 3 3 2 2 4 3.1 Asset_19 千兆交换机 1 1 1 1 1 1 1 1 1 1 Asset_20 24 口交换机 1 1 1 1 1 1 1 1 1 1 Asset_21 12 口 Hub 1 2 1 1 3 1 1 1 2 1.5 Asset_22 24 口 Hub1 1 2 1 1 3 1 1 1 2 1.5 Asset_23 24 口 Hub2 1 2 1 1 3 1 1 1 2 1.5 Asset_24 24 口 Hub3 1 2 1 1 3 1 1 1 2 1.5 Asset_25 核心业务数据库 3 3 2 3 4 3 4
35、3 5 4.3 Asset_26 核心业务 Web 2 3 2 3 4 3 3 3 5 4.1 Asset_27 核心业务 App 服务器 2 3 2 3 4 3 3 3 5 4.1 第15章信息安全评估 Asset_28 报表服务器中间件 2 2 2 2 4 3 2 2 5 3.9 Asset_29 测试系统数据库 3 1 2 1 1 3 2 1 2 1.7 Asset_30 测试系统 App 服务器 2 1 2 1 1 3 1 1 2 1.5 Asset_31 测试系统 Web 服务器 2 1 2 1 1 3 1 1 2 1.5 Asset_32 内部测试系统 App 服务器 2 1 2
36、1 1 3 1 1 2 1.5 Asset_33 内部测试系统 Web 服务器 2 1 2 1 1 3 1 1 2 1.5 Asset_34 CallCenter 中间件 2 2 2 2 3 3 2 2 4 3.1 Asset_35 CallCenter 数据库 3 2 2 2 3 3 3 2 4 3.3 Asset_36 WebmailWeb 服务器 2 3 2 2 3 3 3 2 4 3.3 Asset_37 CallCenter 备份系统 2 2 2 2 3 3 2 2 4 3.1 Asset_38 财务系统数据库 3 3 2 3 4 3 4 3 5 4.3 Asset_39 电子商务数
37、据库 3 2 2 3 2 3 3 3 3 3 Asset_40 核心业务备份系统 2 3 2 3 4 3 3 3 5 4.1 Asset_41 核心业务系统软件 3 3 3 3 4 3 4 4 5 4.5 第15章信息安全评估 15.2.4威胁评估威胁评估 1.安全威胁的获取方法安全威胁的获取方法评估和了解安全威胁的方法主要有用户面谈、安全事件文档审阅、入侵检测系统收集的信息和人工分析、模拟攻击分析、人工分析等。(1)用户面谈:通过对被评估方的主要安全管理人员或运行人员进行访谈,了解其对系统现有安全威胁的直觉认识,并以此作为调查安全威胁的重要手段。(2)安全事件文档审阅:通过对用户方的安全事件
38、和事故记录进行审阅,了解其历史上安全事件发生的频率和强度,从侧面来了解安全威胁的可能性和强度。第15章信息安全评估 (3)入侵检测系统收集的信息和人工分析:如果用户已经部署了入侵检测系统,则可通过对入侵检测系统的日志信息进行人工分析,这有助于对那些利用黑客技术、恶意代码等进行攻击的安全威胁进行了解。(4)模拟攻击分析:通过黑客攻击的测试方法进行威胁分析。(5)人工分析:根据专家经验,对已知的数据进行分析。第15章信息安全评估 2.威胁发生的可能性威胁发生的可能性通常地,在对威胁可能性进行赋值时,可通过下列分析获得。(1)如果是人为故意威胁,则既要考虑资产的吸引力和曝光程度以及组织的知名度,还要
39、考虑资产转化为利益的容易程度,包括财务的利益以及黑客获得对运算能力很强、带宽很大的主机的非法使用等利益。(2)通过过去的安全事件报告或记录,统计各种发生过的威胁及其发生频率。(3)在评估体实际环境中,通过入侵检测系统获得的威胁发生的数据统计和分析,以及各种日志中威胁发生的数据统计和分析。第15章信息安全评估 (4)过去一年或两年来国际机构发布的整个社会或特定行业安全威胁发生频率的统计数据均值。(5)根据专家经验分析,通过定量或半定量计算获得。图15.2.4为某信息系统的安全威胁概率示意图。第15章信息安全评估 图15.2.4安全威胁概率 第15章信息安全评估 15.2.5脆弱性评估脆弱性评估
40、1.工具扫描工具扫描1)工具扫描原理工具扫描主要是根据已有的安全漏洞知识库,模拟黑客的攻击方法,检测网络协议、网络服务、网络设备、应用系统等各种信息资产所存在的安全隐患和漏洞。网络扫描主要依靠带有安全漏洞知识库的网络安全扫描工具对信息资产进行基于网络层面的安全扫描,其特点是能对被评估目标进行覆盖面广泛的安全漏洞查找,并且评估环境与被评估对象在线运行的环境完全一致,能较真实地反映主机系统、网络设备、应用系统所存在的网络安全问题和面临的网络安全威胁。第15章信息安全评估 2)风险与应对措施在评估过程中,一定要注意因为评估而造成的新风险。在扫描过程中应尽量避免使用含有拒绝服务类型的扫描方式,而主要采
41、用人工检查的方法来发现系统可能存在的拒绝服务漏洞。在扫描过程中,如果出现被评估系统没有响应的情况,则应当立即停止扫描工作,分析情况,在确定原因、正确恢复系统、采取必要的防范措施后,才可以继续进行。第15章信息安全评估 2.人工分析人工分析在面对复杂的应用软件的时候,人工分析不仅能够弥补工具在灵活性上的缺点,还能借助分析专家自身的丰富的知识。人工分析是工具分析的一种必要的补充。人工分析的步骤如下:(1)根据应用软件提供的服务内容,将整个应用软件分成几个大的模块,然后对每个大的模块进行人工分析,探察其结构,并尝试能否在模块的内部结构上有所发现。(2)分析各个模块之间的连接部分,探察各连接部分是否出
42、现在数据交互时因未对边界或特殊符号进行检查而造成的漏洞,如常见的SQL注入、溢出等。第15章信息安全评估 (3)对各个模块之间的逻辑结构部分进行相应的权限验证测试,探察是否存在未授权访问或者权限控制不严造成的敏感信息泄漏。(4)结合应用软件所使用的编写语言特点,使用一些特殊的测试手段,分析由于编写语言不同而可能出现的一系列安全问题。(5)整理出所有的人工分析原始资料,重新检查一次是否有遗漏部分。(6)统计所有的分析结果,提交相应的人工分析报告。第15章信息安全评估 图15.2.5人工分析的检查项目 第15章信息安全评估 3.渗透测试渗透测试渗透测试是一种从攻击者的角度来对主机系统的安全程度进行
43、安全评估的手段,在对现有信息系统不造成任何损害的前提下,模拟入侵者对指定系统进行攻击检测。渗透测试通常能以非常明显、直观的结果来反映出系统的安全现状。渗透测试的流程如图15.2.6所示。第15章信息安全评估 图15.2.6渗透测试的流程 第15章信息安全评估 渗透测试的风险及应对措施如下:(1)为防止在渗透测试过程中出现异常情况,所有被评估系统均应在被评估之前作一次完整的系统备份或者关闭正在运行的操作,以便在系统发生灾难后能及时恢复。(2)不使用含有拒绝服务的测试策略。(3)渗透测试时间尽量安排在业务量不大的时段。(4)如果出现被评估系统没有响应的情况,则应当立即停止测试扫描工作,分析情况,在
44、确定原因、正确恢复系统、采取必要的防范措施后,才可以继续进行。(5)评估前由被评估方同意,对指定的服务器或网段进行渗透测试,测试过程在相关人员的全程跟踪和监督下进行。第15章信息安全评估 图15.2.7脆弱性结果示意 第15章信息安全评估 15.2.6风险确定风险确定风险是一种潜在可能性,是指某个威胁利用系统脆弱性引起某项资产或一组资产的损害,从而直接或间接地引起企业或机构的损害。因此,风险和具体的资产价值、威胁等级以及相关的脆弱性直接相关。风险评估的策略是首先选定某项资产,评估资产价值,挖掘并评估资产面临的威胁,挖掘并评估资产存在的脆弱性,评估该资产的风险,进而得出整个评估目标的风险。风险也
45、有两个属性:损失性和可能性。最终风险对企业的影响,也就是对风险的评估赋值,是上述两个属性权衡作用的结果。第15章信息安全评估 不同的资产面临的主要威胁各不相同。随着威胁可以利用的、资产存在的脆弱性数量的增加,风险的可能性会增加;随着脆弱性类别的提高,该资产面临风险的威胁会增加。在许多情况下,某资产风险的可能性是面临的威胁的可能性和脆弱性被威胁利用的难易程度的函数,而风险的后果是资产的价值和影响的严重性的函数。根据上述各阶段的评估结果,即评估人员对系统进行的资产鉴定、威胁评估、脆弱性评估以及威胁利用资产脆弱性发生安全事件的可能性、资产受到损害的严重性,可以计算系统的风险等级。第15章信息安全评估
46、 风险计算原理形式化描述如下:(,)Rf A V T式中,R表示风险,A表示资产,V表示脆弱性,T表示威胁。第15章信息安全评估 15.3评估案例评估案例1.目标目标评估的目标如下:(1)了解网络和应用系统的安全状况。通过评估信息系统存在的安全弱点和面临的安全威胁,了解其安全现状和安全需求。(2)评估受测系统的安全风险。根据安全风险因素间的关系,确定受测系统存在的安全风险及其优先级。(3)根据风险评估制定安全策略。通过安全评估,实践并掌握信息安全风险评估的实施流程、工作形式、过程与方法,为信息系统的使用和管理部门制定安全策略提供建议。第15章信息安全评估 2.主要任务主要任务1)信息资产分析分
47、析信息系统现有的核心IT资产,了解其CIA三性及对受测机构的重要性,以利于后续的规划。主要任务:组织梳理、登记并评价信息资产,协定脆弱点、威胁识别以及风险估算方法。交付件:信息系统资产报告。第15章信息安全评估 2)网络架构评估评估网络结构的安全性,包括对网络区域划分、网络防护以及安全策略部署等的评估。主要任务:对有关人员进行访谈,了解受测机构的业务目标和业务对安全的要求,了解网络现状;从整体角度评估网络使用、网络管理、网络安全控制的安全状况。交付件:信息系统网络架构评估报告。第15章信息安全评估 3)IT设备安全评估针对网络设备、安全设备、系统平台等,分析其安全配置的正确性和有效性,并提供加
48、固建议。主要任务:对IT设备进行安全评估,形成IT设备安全评估报告。交付件:信息系统IT设备安全评估报告。第15章信息安全评估 4)安全现状与风险组合分析分析信息系统应用安全方面的问题,需要对其生命周期整个过程中的安全问题进行检查和验证。主要任务:对信息系统进行综合分析和评价,给出最终的安全现状与风险综合分析报告;风险综合分析和评价;编制安全现状与风险综合分析报告。交付件:信息系统安全现状与风险综合分析报告。第15章信息安全评估 5)安全建议依据信息安全评估结果,完成信息系统的安全建议。主要任务:评估结果分析,进行方案设计。交付件:信息系统安全建议书。第15章信息安全评估 3.总体思路总体思路
49、1)评估内容(1)安全等级。根据信息系统的重要程度为系统确定合适的安全等级,选择合适的技术等级作为评估其安全措施的依据。(2)资产。以IT设备为基本单位,调查设备的基本属性,得到资产列表及资产详细信息并赋值,形成资产报告。(3)网络架构。分析网络区域划分、连接和接入情况。(4)安全管理。通过访谈、现场检查确认等方式,对信息系统的安全管理组织、制度和策略、风险管理、运行与维护、应急响应、监督和检查、项目管理等内容进行全面、安全评估。第15章信息安全评估 (5)物理安全。对机房环境、设备和介质等对象进行调查和现场勘察,确认其与国家等级保护要求的符合性。(6)威胁。对安全事件发生的程度、频率、影响范
50、围和处理方法等进行调查。(7)脆弱性。对脆弱性进行识别和赋值。提供多种全面方法对信息系统进行脆弱性评估,包括安全管理和安全技术各层面的脆弱性识别。(8)安全风险。根据资产、脆弱性和威胁之间的关系以及风险评估量化方法,确定信息系统的安全风险等级。第15章信息安全评估 2)评估技术对以上评估内容,采用的评估技术如下:(1)调查取证:包括问卷调查、相互交流和实地勘察等凝聚着丰富的专家知识的人工分析方法。(2)漏洞检测和脆弱性测试:利用扫描与攻击工具有计划、有组织地检测信息系统的安全漏洞,并模拟外界攻击,测试信息系统的抗渗透能力。(3)综合分析:由安全专家对评估结果做出关联性分析,撰写安全评估报告。第
